Datenschutzerklärung Kunde

Datenschutzerklärung Kunde als PDF download!

Datenschutzerklaerung Kunde.pdf (800,0 KiB)

Vereinbarung über eine Auftragsverarbeitung gemäß Artikel 28 DS-GVO zwischen

KUNDE (Name, Adresse, UID)

(Verantwortlicher im Sinne der DS-GVO; im Folgenden als „Auftraggeber“ bzw. „Datenverantwortlicher“ bezeichnet)

und

Vesely GmbH 5324 Faistenau, Steinbräuweg 1

UID ATU55201604 / FN 225772-v

(Auftragsverarbeiter im Sinne der DS-GVO; im Folgenden als „Auftragsverarbeiter“ bezeichnet)

(jeweils auch „Partei“, zusammen die „Parteien“)

PRÄAMBEL

Diese Vereinbarung regelt die datenschutzrechtlichen Verpflichtungen betreffend die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen.

Unter personenbezogenen Daten werden alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im folgend „betroffene Person“) beziehen, angesehen (folgend „Personenbezogene Daten“). Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Unter „Verarbeitung“ ist im Folgenden jede Tätigkeit im Sinne der EU-Datenschutz-Grundverordnung (folgend „DSGVO“) zu verstehen, insbesondere allerdings die Erhebung, das Speichern, die Übermittlung, das Sperren, die Löschung und die Verschlüsselung personenbezogener Daten.

Sofern der Auftragsverarbeiter personenbezogene Daten für den Datenverantwortlichen verarbeitet, vereinbaren die Parteien wie folgt:

1. Gegenstand und Dauer des Auftrags

1.1 Gegenstand des Auftrags

Der Auftragsverarbeiter übernimmt folgende Verarbeitungen im Sinne der DS-GVO für den Auftraggeber:

Adressierung von Druckerzeugnissen mittels beigestellten Adressdaten des Auftraggebers

1.2 Dauer des Auftrags

Der Vertrag wird auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von drei Monaten zum Monatsletzten gekündigt werden. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

2. Details der Verarbeitung

2.1 Art und Zweck der Verarbeitung

Beschreibung der Art der Verarbeitung personenbezogener Daten:
- Adressierung von Druckerzeugnissen mittels beigestellten Adressdaten des Auftraggebers

2.2 Art der personenbezogenen Daten

Gegenstand der personenbezogenen Daten sind folgende Datenarten:

Kontakt-/Adressdaten (Anrede, Titel, Name, Straße, Haus-, Türnummer, PLZ, Ort, Land)

2.3 Kreis betroffener Personen

Die Kategorien der durch die Auftragsverarbeitung betroffenen Personen sind:

Kunden/Abonnenten/ Interessenten des Datenverantwortlichen/Auftraggebers
Multiplikatoren-Adressen

2.4 Ort der Datenverarbeitung
Die Datenverarbeitung durch den Auftragsverarbeiter erfolgt ausschließlich innerhalb der Europäischen Union beziehungsweise innerhalb des Europäischen Wirtschaftsraums und/oder der Schweiz.

Das angemessene Schutzniveau für die Schweiz ergibt sich derzeit aufgrund der Datenschutz-Richtlinie 95/46/EG aus einem Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DS-GVO);

2.5 Art der Datenbereitstellung

Der Auftraggeber stellt sämtliche personenbezogene Daten soweit technisch möglich nur in verschlüsselter Form (verschlüsselter Inhalt bzw. verschlüsselter Übertragungsweg) an den Auftragsverarbeiter bereit. Insbesondere hat auch eine Übermittlung an den Auftragsverarbeiter soweit technisch möglich nur in verschlüsselter Form zu erfolgen.

3. Pflichten des Auftragsverarbeiters

3.1 Verarbeitung nach dokumentierter Weisung

Der Auftragsverarbeiter verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich wie vertraglich vereinbart oder vom Auftraggeber ausdrücklich angewiesen zu verarbeiten. Erhält der Auftragsverarbeiter einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so wird er den Auftraggeber, sofern gesetzlich zulässig, unverzüglich darüber informieren und die Behörde an diesen verweisen. Der Auftragsverarbeiter verarbeitet die zur Verarbeitung übergebenen Daten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke.

3.2 Wahrung der Vertraulichkeit bzw. Verschwiegenheit

Der Auftragsverarbeiter verpflichtet sich zur Verschwiegenheit. Der Auftragsverarbeiter erklärt, dass sich alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit schriftlich zur Verschwiegenheit verpflichtet haben. Der Auftragsverarbeiter sichert zu, dass die zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung von den Bestimmungen des Datenschutzes unterrichtet wurden. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.

3.3 Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung

Der Auftragsverarbeiter erklärt, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DS-GVO ergriffen hat.

3.4 Sub-Auftragsverarbeiter

Als Subauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen Der Auftragsverarbeiter ist berechtigt, aus einem Pool an branchenüblichen Sub-Auftragsverarbeiter zur Erfüllung des Vertragsverhältnisses zu wählen und diese zu beauftragen, um die zugesagten Lieferzeiten einhalten zu können.

Änderungen des Pools der Sub-Auftragsverarbeiter werden dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und dürfen erst vorgenommen werden, sofern der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt.

Der Auftragsverarbeiter schließt die erforderlichen Vereinbarungen gemäß Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Der Sub-Auftragsverarbeiter hat dieselben Verpflichtungen einzugehen, die dem Auftragsverarbeiter auf Grund des gegenständlichen Vertrages obliegen.

3.5 Unterstützung des Auftraggebers bei der Beantwortung von Anträgen betroffener Personen

Der Auftragsverarbeiter ergreift die geeigneten technischen und organisatorischen Maßnahmen (TOMs), damit der Auftraggeber die Rechte der betroffenen Person nach der DS-GVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen.

Wird ein solcher Antrag von einem Betroffenen an den Auftragsverarbeiter gerichtet, leitet dieser den Antrag an den Auftraggeber/Datenverantwortlichen weiter und verweist die betroffene Person an diesen.

3.6 Unterstützung des Auftraggebers bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DS-GVO

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DS-GVO genannten Pflichten.

Die angeführten Pflichten umfassen:

(Maßnahmen zur Sicherheit der Datenverarbeitung nach (Art. 28 Abs, 2 lit. f DS-GVO iVm. Art. 32 DS-GVO),
Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 28 Abs. 2 lit. f DS-GVO iVm Art. 33 DS-GVO)
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 28 Abs. 2 lit. f DS-GVO iVm Art. 34 DS-GVO)
Datenschutz-Folgenabschätzung (Art. 28 Abs. 2 lit. f DS-GVO i.m Art. 35 DS-GVO),
vorherige Konsultation der Aufsichtsbehörde bei Verarbeitung mit hohen Risiken (Art. 28 Abs. 2 lit. f DS-GVO iVm Art. 36 DS-GVO).

Der Auftragsverarbeiter verpflichtet sich für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art. 30 DS-GVO zu führen. Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragsverarbeiter den Auftraggeber nach Möglichkeit bei der Erstellung und Wartung des Verarbeitungsverzeichnisses sowie bei der Durchführung einer etwaig notwendigen Datenschutzfolgeabschätzung.

3.7 Löschung oder Rückgabe nach Beendigung des Auftrags

Der Auftragsverarbeiter ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse, Daten und Unterlagen zu löschen. Die Löschung der Daten erfolgt in diesem Fall (sofern technisch als auch in einem vertretbaren Aufwand möglich) innerhalb eines Zeitraums von 12 Monaten nach Beendigung dieser Vereinbarung, sofern nicht gesetzliche Aufbewahrungsfristen bestehen.

3.8 Mitteilungspflicht bei Data Breach

Der Auftragsverarbeiter teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Die Meldung hat spätestens 48 Stunden ab Kenntnis des Auftragsverarbeiters zu erfolgen.

4. Rechte und Pflichten des Auftraggebers

4.1 Verarbeitung auf dokumentierter Weisung

Der Verantwortliche erteilt alle Aufträge und Weisungen dem Auftragsverarbeiter schriftlich in dokumentierter Art und Weise.

4.2 Überprüfungen/Audits

Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften des Vertrags beim Auftragsverarbeiter durch Überprüfungen nach Ankündigung zu kontrollieren. Diese Kontrolle kann durch die Einholung von Auskünften, die Einsichtnahme in gespeicherte Daten oder sonstige Kontrollen vor Ort erfolgen.

Der Auftragsverarbeiter ist verpflichtet, entsprechende Auskünfte zu erteilen und Nachweise zu führen, die für die Kontrollen notwendig sind. Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Kontrollen beim Auftragsverarbeiter haben ohne vermeidbare Störungen im Geschäftsbetrieb zu erfolgen.

Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragsverarbeiter einen Vergütungsanspruch geltend machen.

4.3 Haftung des Auftraggebers

Der Auftraggeber sichert dem Auftragsverarbeiter zu, die von ihm bereit gestellten personenbezogenen Daten im Einklang mit den jeweils gültigen datenschutzrechtlichen Bestimmungen zu verarbeiten und zur Datenverarbeitung berechtigt zu sein. Der Auftraggeber verpflichtet sich, den Auftragsverarbeiter von jeglichen Ansprüchen Dritter mit oder im Zusammenhang einer vom Auftraggeber verschuldeten
Verletzung von datenschutzrechtlichen Vorschriften schad- und klaglos zu halten.

5. Anwendbares Recht und Gerichtsstand

Dieser Vertrag unterliegt österreichischem Recht unter Ausschluss der Verweisungsnormen des österreichischen IPRG und der Bestimmungen des UN-Kaufrechtsabkommens.

Für alle Streitigkeiten aufgrund oder im Zusammenhang mit diesem Vertrag wird die ausschließliche Zuständigkeit des für den Auftragsverarbeiter sachlich zuständigen Gerichts vereinbart.

6. Schlussbestimmungen

6.1 Vertraulichkeit

Beide Parteien verpflichten sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über Geschäftsgeheimnisse oder Datensicherheitsmaßnahmen der anderen Partei auch für die Zeit nach der Beendigung des Vertrages vertraulich zu behandeln und über diese Verschwiegenheit zu bewahren.

6.2 Schriftform

Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform, sofern nicht gesetzlich eine strengere Form vorgeschrieben ist. Das Erfordernis der Schriftform kann nur durch schriftliche Vereinbarung aufgehoben werden.

6.3 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein, so bleiben die übrigen Bestimmungen wirksam. Die Vertragsparteien verpflichten sich, im Falle der Unwirksamkeit einzelner Bestimmungen, die unwirksamen Bestimmungen durch Bestimmungen, die dem Zweck der unwirksamen Bestimmungen möglichst entsprechen, zu ersetzen.

________________________________ ________________________________

Ort, Datum Unterschrift